Незримый враг: чем опасны DDoS-атаки? A− A= A+

Интернет уже давно перестал быть только пространством информации и поиска. Сегодняшний бизнес практически немыслим без ресурсов глобальной сети: веб-сайт является своего рода лицом компании, различные интернет-сервисы и порталы используются для ведения бизнеса с клиентами и партнерами, в том числе международными.

Алексей АФАНАСЬЕВ

Руководитель проекта Kaspersky DDoS Prevention «Лаборатории Касперского»

Недоступность всех этих ресурсов наносит не только репутационной ущерб компании, но может привести к прямым финансовым потерям из-за простоя ряда сервисов. Вот почему DDoS-атаки, имеющие своей целью на некоторое время сделать веб-сайты недоступными для пользователей, набирают все большую популярность у злоумышленников.

Говоря простым языком, DDoS-атака выводит из строя интернет-ресурс путем «замусоривания» его большим количеством паразитных обращений. Для этих целей преступники, как правило, заимствуют мощь тысяч зараженных вредоносными программами компьютеров, создающих ботнет, и противостоять им может только равная по силе специальная система обороны. Если же таковой у атакуемого ресурса нет, то последствия DDoS-атаки могут оказаться весьма печальными и привести к уже упомянутым потерям.

К сожалению, DDoS сегодня является относительно дешевым инструментом в арсенале киберпреступников. Организация атак подобного рода достаточно проста в техническом плане. Кроме того, этот «инструмент» не требует больших финансовых вложений — стоимость создания ботнета довольно невелика (по оценкам экспертов из Group IB, в России, например, стоимость заражения 1 тысячи машин составляет всего $20), кроме того, в Интернете есть предложения о продаже уже готовых и реально работающих ботнетов. Все это приводит к тому, что за относительно небольшие деньги практически любой человек может получить готовый инструмент для совершения атаки.

Кроме технической простоты и ценовой доступности, существенную роль в популяризации DDoS играет и сложность доказательства факта преступления. К тому же на законодательном уровне существует проблема несоответствия тяжести самого злодеяния и ответственности, к которой могут привлечь злоумышленников. В таких условиях защита от DDoS-атак является более чем актуальной, поскольку ни одна современная компания, использующая Интернет, не застрахована от посягательств злоумышленников.

Для банков и финансовых организаций это утверждение более чем актуально, поскольку этот сектор традиционно является для киберпреступников лакомым куском. DDoS-атаки на сайты банков могут быть как одним из проявлений конкурентной борьбы, так и прямой кражей денег — в последнем случае DDoS-атака является своего рода «дымовой завесой», которая дает злоумышленникам возможность провести незаконные операции по переводу денег, пока клиенты банка и сам банк не могут отслеживать состояние своих счетов.

Одной из самых крупных DDoS-кампаний, направленных на банковские ресурсы, стала операция «Абабиль», охватившая американский финансовый сектор и стартовавшая в сентябре 2012 года. За время активной деятельности киберпреступников в 2013 году веб-сайты 15 крупнейших американских банков были недоступны совокупно 249 часов. Для сравнения: год назад суммарный простой тех же объектов за тот же период составил 140 часов. Это мощнейшее DDoS-наступление на сферу банковских услуг началось больше года назад и периодически, несколько раз в квартал, продолжает досаждать клиентам и службам безопасности банков. В феврале 2013 года атакующие взяли тайм-аут, а затем вновь пошли на приступ. В марте DDoS-атаке подвергся веб-сервис JPMorgan Chase, в результате чего у некоторых клиентов возникли проблемы с доступом. В том же месяце аналогичные нападения были совершены на сайты Wells Fargo и American Express, а в начале апреля злоумышленники вновь попытались вывести из строя онлайн-ресурс Wells Fargo.

При этом организаторы кампании «Абабиль» демонстрируют не только высокий технический уровень и хорошее знание способов защиты от DDoS, но также наличие большого потенциала. Применяемая ими техника позволяет в разы увеличивать мощность атаки при весьма ограниченной базе, однако эксперты сходятся во мнении, что злоумышленники пускают в ход лишь часть своих резервов.

Российские банки, разумеется, также регулярно становятся жертвами киберпреступников. Одна из последних историй произошла в начале октября 2013 года. Волна DDoS-атак, за организацией которых стояла хакерская группировка Anonymous Caucasus, затронула сразу пять крупнейших банков страны: Сбербанк, Альфа-Банк, Газпромбанк, ВТБ и Центробанк России. На протяжении недели с 1 октября «Лаборатория Касперского» фиксировала последовательные и достаточно продолжительные атаки на веб-порталы банков, которые обычно начинались в первой половине дня и в ряде случаев продолжались в течение суток.

Поскольку некоторые банки на момент атак были клиентами «Лаборатории Касперского», а еще часть оперативно обратилась к экспертам компании, серьезных сбоев в работе веб-сайтов удалось избежать. Так, банки — клиенты «Лаборатории Касперского» использовали для своей защиты сервис Kaspersky DDoS Prevention, принцип защиты в котором сводится к тому, что весь «мусорный» трафик атаки, приводящий к недоступности ресурса, проходит через распределенные центры фильтрации, где и отсекается. Таким образом, защищаемый ресурс получает лишь легитимные запросы пользователей и способен продолжать работу даже во время атаки.

Однако в случае отсутствия специализированной защиты недоступность ресурса и, следовательно, потери от DDoS-атак неизбежны. Более того, серьезные киберинциденты дорого обходятся жертвам. По оценке Solutionary, поставщика управляемых систем безопасности, на ликвидацию последствий современной DDoS-атаки организации тратят до $6,5 тысяч в час — и это без учета упущенной выгоды за время простоя.

Справедливости ради стоит сказать, что компании начинают осознавать реальность угрозы DDoS-атак и даже начинают выстраивать определенную защиту от них. Но при этом они нередко опираются на типовые средства, в частности, на те, которые привычны и уже развернуты в их информационных системах: межсетевые экраны, системы предотвращения вторжений (IDS/IPS) или специальную настройку системы, например, включение геофильтрации. Все эти меры не спасают от хорошо спланированных комбинированных атак, которые в последнее время набирают обороты. Для защиты от таких атак необходимы специализированные защитные средства, подключенные к достаточно широким каналам и способные нейтрализовать DDoS-атаку любой мощности и сложности.

Хотелось бы отметить, что мощность DDoS-атак в последнее время резко выросла, что свидетельствует о том, что злоумышленники освоили более сложные приемы. Особенно часто киберпреступники задействуют более совершенные в техническом плане средства при атаках на слабо защищенные ресурсы: то есть если веб-портал изначально имеет систему защиты от DDoS и не сдается под натиском небольшой атаки, злоумышленники просто увеличивают мощность до критических показателей, когда слабое защитное решение уже не способно адекватно противодействовать.

Так, по данным «Лаборатории Касперского», во второй половине 2012 года средняя мощность атаки составляла 34 Мб/с, а в начале этого года планка поднялась до 2,3 Гб/с.

При этом получившие в Рунете популярность атаки типа UDP Flood с использованием DNS Amplification (специального метода, имеющего «плечо» — коэффициент усиления) по мощности превышали даже 60 Гб/с.

Помимо мощности выросла и продолжительность атак. Если в конце 2012 года специалисты «Лаборатории Касперского» установили, что средняя атака длилась 7 часов, то в 2013 году они отметили, что этот показатель вырос до 14 часов.

В таких условиях компаниям, использующим Интернет для ведения бизнеса и заинтересованным в сохранении лояльности своих клиентов, пользующихся их веб-сервисами, просто необходима специализированная защита от DDoS: мощная, продуманная и способная противостоять даже хорошо спланированным и технически сложным атакам.